우공이산

2006년 4월28일 <프레시안>에 글 한 편이 올라왔다. ‘인터넷 강국인가, MS 천국인가‘. ‘윈도우 미디어 플레이어’ 끼워팔기 여부를 놓고 유럽연합(EU) 집행부와 마이크로소프트(MS) 사이에 법률 논쟁이 한창 불붙을 즈음이었다. 글은 MS의 운영체제(OS) 독점을 경계하고, 스스로 ‘윈도우 독점’에 봉사하는 공공기관 웹사이트를 질타했다. 글쓴이는 김기창(47) 고려대 법대 교수. ‘꽁꽁 닫힌 웹페이지를 열어달라’는 오픈웹 운동이 싹트는 순간이었다.

그로부터 3년. 김기창 교수가 책을 냈다. <한국 웹의 불편한 진실>. 3년동안 오픈웹 운동을 주도하며 보고, 느끼고, 분노하고, 주장했던 얘기들을 모았다. 보안은 커녕 위협만 초래하는 금융권 보안 프로그램이 난도질당하고, 아무리 봐도 그 효과가 의문스러운 전자서명 제도가 비판 도마에 올랐다. 내로라하는 국내 보안업체들에도 ‘잇속을 챙기기에 바쁜 몰염치한 장사꾼’이라는 비판이 돌아왔다. 지금껏 당연하게 여겨온 웹 환경들이 알고보면 허울투성이였단다. 사뭇 도발적이다. 우리는 지금껏 당연히 누려야 할 제 몫을 못 챙기고 있었던 걸까.

김 교수는 영국 유학을 마치고 돌아온 2003년, 한국의 절름발이 웹 환경을 직접 체험하고는 소송을 결심했다. “처음엔 IE 뿐 아니라 파이어폭스, 사파리, 오페라 등 다양한 웹브라우저에서 주요 웹사이트들을 이용할 수 있게 바꿔달라는 데 초점을 맞췄습니다. 그런데 곰곰히 생각해보니 그게 전부가 아니었어요. 이게 모바일까지 확대되면 어찌될 것인가. 아예 새로 시작할 수는 없는 노릇 아닙니까. 그래서 아예 플러그인 자체를 다 빼자는 쪽으로 선회를 했습니다. 3년 정도 오픈웹 활동을 하면서 저 스스로도 배운 셈이죠.”

김기창 교수의 칼날은 금융권 웹 환경 전반을 두루 겨눈다. 말 많은 액티브X 문제는 이미 귀 따갑게 들었으니 그렇다 치자. 인터넷뱅킹을 이용할 때마다 당연한 듯 설치해온 보안 프로그램이나 전자서명도 실은 문제투성이란다. 토종SW인 한글과컴퓨터 ‘아래아한글’과 2004년 싹텄다 중단된 ‘한국형 리눅스’ 개발 프로젝트에 대해서도 ‘참을 수 없는 국수주의의 가벼움’이란 칼날을 들이댔다.

그가 특히 문제삼는 건, 은행에 인터넷뱅킹용 솔루션을 공급하는 보안업체들의 영업방식이다. “지난 10년동안 보안업체들이 퍼뜨린 무수한 담론들이 있었어요. 키보드 해킹 방지 프로그램, 보안접속 프로그램, 개인 방화벽, 안티바이러스 등 인터넷뱅킹 한 번 하려면 무수히 많은 프로그램을 덕지덕지 설치해야 합니다. 보안업체들은 그래야 안전하다고 한 거고요. 기술이 취약했던 10년 전이라면 맞는 얘기일 지도 모르겠지만 지금은 다릅니다. 더 쉽고 안전하고 편리한 방법이 얼마든지 있어요. 그런데도 수익에 목마른 보안업체들은 여전히 낡고, 불편하고, 위험한 플러그인을 설치하고 인증하는 방식을 고수하고 있는 것이죠.”

그는 “은행권도 알고보면 피해자”라고 말했다. “시중은행 핵심 IT 지원단장과 얘기할 기회가 있었어요. 사실은 그들도 다양한 웹브라우저 환경에서 뱅킹 서비스를 제공하고 싶어하더군요. 그게 자기네에도 이익이니까요. 문제는 은행 IT 담당자의 e뱅킹 관련 기술 지식이 부족한 데 있습니다. 그러니 보안업체 영업 담당자가 세일즈하는 솔루션을 믿고 구입할 수 밖에요. 법규정에도 없는 전자서명을 말단 하위 규정 하나를 근거로 강제로 쓰게 하는 건 시민의 자유를 제한하는 범죄나 다름없는 일입니다.”

오픈웹은 2007년 1월, 금융결제원을 상대로 ‘공인인증서를 MS 인터넷 익스플로러에서만 이용할 수 있도록 한 것은 불공정 행위에 해당한다’며 손해배상 청구 조정 절차를 제기했다. 2007년 10월12일 서울중앙지법이 조정 불성립 결정을 내리자 오픈웹은 다시 금결원을 상대로 민사소송을 제기했지만 1심에서 패소했다. 김기창 교수는 곧바로 항소를 했지만 서울고등법원은 2009년 3월25일 항소를 기각했다. 이에 김기창 교수는 2009년 5월22일 대법원에 상고를 신청했다. 장문의 상고 이유서와 함께.

김기창 교수는 상고 이유서를 책 후기에도 간추려 실었다. 김 교수가 하고팠던 말은 무엇일까. “이 소송이 제기된 진정한 이유는 PC 운영체제 때문도 아니고, PC 환경에서 배포되는 웹브라우저 소프트웨어 때문도 아닙니다. 앞으로는 TV나 냉장고, 캠코더, 전화기 등 다양한 기기로 서비스가 확장되고 사업 잠재성이 충분히 발휘돼야 합니다. 어떤 기기든 컨텐트를 내려받으려면 돈을 지불해야 합니다. 금융거래가 안 끼는 데가 없죠. 그런데도 데스크톱PC가 전부인 양 생각하고, 그 가운데서도 윈도우·IE 환경만 대상으로 10년동안 영업을 하고 매출을 올린 겁니다. 그 결과 나머지 산업은 위축돼 버린 것이죠.”

책엔 소개되지 않았지만, 요즘 화젯거리인 아이폰 도입 논란에 대해서도 일침을 가했다. 김 교수가 보기에 아이폰 도입을 둘러싼 담론은 “우리나라 IT 정책의 치부를 그대로 드러내는 사건”이다. “한 마디로 국내 이통사의 횡포이죠. 이통사는 망 개방도 주저하고 데이터 요금제도 터무니없이 올려놓았습니다. 상식을 가진 이용자라면 그 요금 내고 안 씁니다. 그러니 컨텐트는 더욱 빈약해졌고 결국 코흘리개 청소년 돈 빼앗아 배를 채우고 있는 모양새죠. VoIP 기술을 모바일 기기에 활용하게 하면 파생산업 기회가 생기는데도 필사적으로 막고 있습니다. 멀리 내다보면 자기네 성장 가능성을 키우는 일인데, 스스로 막는 꼴입니다.”

오픈웹은 올해들어 ‘세이프뱅크‘ 웹사이트를 열었다. “지금껏 말로 설명했던 안전하고 편리한 인터넷뱅킹 서비스를 시범삼아 보여주기 위해서”란다. 웹사이트는 단순하고 깔끔하다. 플러그인을 깔라는 메시지도, 경고창도 없다. 그 대신 ‘https’로 시작하는 보안접속 경로를 이용했다. 피싱사이트에 속지 않도록 첫 화면에서 ‘주소가 https//로 시작하는지 확인’하라고 안내하고 있다.

인증 방식은 간단하다. “첫 단계에선 아이디만 입력합니다. 그러면 이용자가 미리 선택해둔 그림을 서버에서 던져줍니다. 아이디를 입력한 뒤 자신이 지정한 그림이 제대로 뜨면, 그 다음에 비밀번호를 입력하는 방식이죠. 그림이 안 맞으면 비밀번호를 입력할 이유가 없겠죠. 국민은행이 최근 이 피싱방지 방식을 도입했는데, 정작 원리를 제대로 이해하지 못한 모습입니다. 아이디를 넣으면 그림을 먼저 띄우고 나중에 비밀번호를 넣도록 해야 하는데, 국민은행은 아이디와 비밀번호를 모두 넣은 다음 그림이 뜨도록 했어요. 그러니 나중에 틀린 그림이 떠도 이미 아이디와 비밀번호가 노출돼 버렸으니 무슨 보안이 되겠어요.”

김기창 교수는 올해 하반기 ‘안식학기’를 맞았다. 이참에 7개월 일정으로 유학했던 영국 캠브리지대학에서 못다한 공부를 더할 요량으로 8월6일 출국한다. “모든 걸 내려놓고 홀가분한 마음으로 쉬다 올 예정”이라며 김 교수는 웃었지만, 쉬이 믿기지 않는다. 불편부당한 웹 환경이 개선되지 않는 한, 김 교수의 ‘이유있는 발언’도 쉬지 않을 테니까.